Vraag Wat is het verschil tussen een Source NAT, Destination NAT en Masquerading?


Wat is het verschil tussen een Source NAT, Destination NAT en Masquerading?

Ik dacht bijvoorbeeld dat IP Masqurading was wat ze het in Linux noemden? Maar wat mij in de war brengt, is dat er in onze Astaro-firewall zowel IP Masquarading als NAT-opties zijn. Wat is het verschil tussen al deze?


46
2018-03-04 23:54


oorsprong


In het geval dat je je afvraagt ​​naar Sophos, de prioriteit is DNAT, SNAT, Masquerading - lmf


antwoorden:


Bron NAT verandert het bron adres in IP hoofd van een pakket. Het kan ook de bron poort in de TCP / UDP-headers. Het typische gebruik is om een ​​a private (rfc1918) adres / poort te veranderen in een openbaar adres / poort voor pakketten die uw netwerk verlaten.

Bestemming NAT verandert het bestemming adres in IP-header van een pakket. Het kan ook de bestemming poort in de TCP / UDP-headers. Het typische gebruik hiervan is om inkomende pakketten om te leiden met een bestemming van een openbaar adres / poort naar een privé IP-adres / poort in uw netwerk.

Masquerading is een speciale vorm van Source NAT, waarbij het bronadres onbekend is op het moment dat de regel wordt toegevoegd aan de tabellen in de kernel. Als u hosts met een privéadres achter uw firewall toegang wilt geven tot internet en het externe adres is variabel (DHCP), dan is dit wat u moet gebruiken. Masquerading zal het bron-IP-adres en de poort van het pakket wijzigen in het primaire IP-adres dat is toegewezen aan de uitgaande interface. Als uw uitgaande interface een adres heeft dat statisch is, dan hoeft u MASQ niet te gebruiken en kunt u SNAT gebruiken, wat een beetje sneller zal zijn omdat het niet hoeft uit te zoeken wat het externe IP-adres altijd is.


61
2018-03-05 00:40



Bedankt, dat verklaart het heel goed. Dus source nat en waarschijnlijk ook masquerading is equivalent aan het nat-sleutelwoord in het ipf van freebsd terwijl destination nat gelijk is aan het sleutelwoord rdr in ipf. - Matt
Net ontdekt dat voor freebsd masquerading wordt afgehandeld door een regel als map ppp0 10.0.0.0/8 -> 0/32 (waarbij 0/32 een dynamisch ip aangeeft). - Matt